Към главното съдържание

Основни понятия

  1. Основни понятия

Когато се говори за защита на личните данни, често се използват термини, които на първо четене звучат сложно и объркващо. Разбирането на основните понятия обаче е първата крачка към правилното прилагане на изискванията на Общия регламент за защита на данните (GDPR) и Закона за защита на личните данни (ЗЗЛД). В следващите редове ще откриете кратки и ясни обяснения на ключовите термини, инкорпорирани в чл. 4 GDPR, придружени с примери.

 

  1. Лични данни
„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

 

Лични данни са всякаква информация, чрез която дадено физическо лице може да бъде разпознато – директно (напр. по име) или индиректно (чрез комбинация от данни, като телефонен номер и адрес). Това включва както очевидни данни като име и ЕГН, така и по-малко видими, като IP адрес или данни за местоположение. Някои данни могат сами по себе си да не идентифицират човека, но в комбинация с други – да го направят. Затова дори данни като номер на пратка, когато са обвързани с име и адрес, също биха могли да се считат за лични данни.

Пример: Име и фамилия; ЕГН, номер на лична карта; снимка или видеозапис на лице и т.н.

  1. Субект на данни
„Субект на данни“ е идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано.

 

Субект на данни е лицето, за което се събират и обработват лични данни. Това е всяко физическо лице, което е вече разпознато (идентифицирано) или може да бъде разпознато чрез информация като име, адрес, телефон, ЕГН и други.

Пример: Ако дадено търговско дружество събира и съхранява имена и адрес на конкретно лице, за да изпрати поръчка, това лице е субект на данни.

  1. Обработване
„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

 

Обработване е всяко действие, което се извършва с лични данни – от момента на тяхното събиране до тяхното съхранение, използване или изтриване. За да бъде квалифицирано едно действие като обработване, не е задължително това да става чрез компютър – дори записването на хартия се счита за обработване.

Пример: Попълване на формуляр с лични данни на клиент или служител; записване на данни в компютърна система или на хартиен носител; съхраняване на видеозаписи от охранителни камери; споделяне на данни с куриер за доставка; изтриване на стари клиентски досиета.

  1. Ограничаване на обработването
„Ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще.

 

Ограничаване на обработването е специална мярка, при която личните данни продължават да се съхраняват, но не могат да бъдат използвани по никакъв друг начин, освен в строго определени случаи (например за защита на правни претенции). Това се прилага в следните ситуации:

  • при оспорване точността на данните;
  • при незаконното обработване на данните;
  • когато данните вече не са нужни на компанията, но все още са необходими;
  • при подадено възражение срещу обработването.

Пример: Клиент оспорва точността на личните си данни, които сте съхранили. Докато извършвате проверка, сте длъжни да ограничите обработването – да не използвате, променяте или споделяте тези данни, освен ако е необходимо по закон.

  1. Профилиране
„Профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.

 

Профилиране действие, при което компютър автоматично използва лични данни, за да направи „профил“ на човек – например какви са неговите интереси, навици, поведение, здраве или финансово състояние. Това се прави, за да се предвидят действията му или да му се предложат определени услуги или продукти.

Пример: Рекламни платформи, които анализират онлайн поведението ви и показват реклами според интересите на потребителите.

  1. Псевдонимизация
„Псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано.

 

Псевдонимизация означава, че личните данни се променят така, че да не могат директно да се свържат с конкретно лице, освен ако не се използва допълнителна информация. Това е метод за защита на данните – ако някой получи достъп до тях, няма да може да разбере на кого принадлежат без допълнителна информация.

Пример: Име и ЕГН на клиент се заменят с код – например „Клиент №12345“. Само служители от съответното търговско дружество имат представа какво означава този код и с кой клиент се свързва.

  1. Регистър с лични данни
„Регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.

 

Регистър с лични данни е подреден списък или база данни, в която се съхраняват лични данни и до която може да се получи достъп по определени правила. Регистърът може да се води както на хартиен носител, така и на устройство.

Пример: Клиентски списък в Excel файл с имена, телефони и адреси.

  1. Администратор
„Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.

 

Администраторите са основните лица, вземащи решения – те упражняват цялостен контрол върху целите и средствата за обработване на лични данни. Ако двама или повече администратори съвместно определят целите и средствата за обработване на едни и същи лични данни, те са съвместни администратори. Те обаче не са съвместни администратори, ако обработват едни и същи данни за различни цели. Обработващите действат от името и само по инструкции на съответния администратор.

Ако вие или вашето търговско дружество решавате кои лични данни да се събират, с каква цел и по какъв начин, вие сте администратор на лични данни и носите отговорност за тяхната защита.

Пример: Онлайн магазин, който събира имена, адреси и телефони на клиенти, за да достави поръчките, е администратор на тези данни.

  1. Обработващ
„Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.

 

Обработващ е лице или организация, която не решава сама защо и как да се използват личните данни, а ги обработва по нареждане на администратора и според неговите указания. Обработващият изпълнява задачи, възложени от администратора, и няма право да използва данните за свои цели.

Пример: Търговско дружество, което предлага куриерски услуги, на което онлайн магазин изпраща списък с адресите на клиентите, за да достави пратки – дружеството, което предлага куриерски услуги, е обработващ лични данни, защото действа по поръчка на магазина.

  1. Получател
„Получател“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването.

 

Получател е всяко лице, търговско дружество или институция, на която се предоставят лични данни. Това може да е партньор, подизпълнител или друга страна, на която администраторът предава данни за конкретна цел. Държавни органи (напр. полиция, съд), които получават данни като част от разследване по закон, не се считат за получатели в този смисъл.

Пример: Търговско дружество за доставки получава списък с клиенти и адреси от онлайн магазин – тя е получател. Ако данните се предадат на счетоводна кантора за издаване на фактури – тя също е получател.

 

  1. Принципи

Принципи, свързани с обработването на лични данни, са основните правила, които всеки администратор и обработващ лични данни трябва да спазва при събиране, използване, съхранение и споделяне на лична информация. Посочени са в чл. 5 от GDPR.

  1. Принцип на законосъобразност, добросъвестност и прозрачност (чл. 5, пар. 1, б. „а“ от GDPR)

Обработването на лични данни трябва да бъде законосъобразно, добросъвестно и прозрачно спрямо субектите на данни (т.е. спрямо лицата, чиито данни се събират). Това означава, че администраторът не може да събира и използва лична информация произволно, а само ако има правно основание за това и ако е ясно и открито информирал лицата за какво ще използва данните им.

  • Законосъобразност: Данните могат да се обработват само при наличие на законно основание – например съгласие от лицето, изпълнение на договор, законово задължение, защита на жизненоважни интереси, обществен интерес или легитимен интерес на администратора.
  • Добросъвестност: Данните не трябва да се използват по начин, който подвежда лицата или нарушава защита на личния им живот.
  • Прозрачност: Хората трябва да знаят какви данни се събират, защо, как ще бъдат използвани, колко дълго ще се съхраняват и на кого може да се разкрият. Тази информация се предоставя обикновено чрез политика за поверителност.

Пример: Търговско дружество, което предоставя фитнес услуги, предлага онлайн абонаменти и събира лични данни на клиентите – име, имейл и данни за плащане. Преди да събере данните, клиентът вижда ясна и разбираема информация за това какви данни ще се използват, за какво и за колко време (прозрачност). Данните се използват само за целите на абонамента и не се споделят с други компании за реклама, без предварително съгласие от клиента (добросъвестност). Търговското дружество събира и обработва данните на основание договор – за да предостави платената услуга (законосъобразност).

  1. Принцип на „свеждане на данните до минимум

Администраторът има право да събира и използва само тези лични данни, които са необходими за постигане на конкретна и законна цел. Не бива да се събират излишни данни „за всеки случай“ или просто защото могат да бъдат полезни в бъдеще. Това означава, че администраторът трябва внимателно да прецени кои данни са необходими и кои не, и да ограничи събирането само до най-необходимата информация.

Пример: Онлайн магазин изисква от клиентите си име, адрес и телефон за доставка на поръчка (необходим минимум). Ако магазинът поиска и ЕГН, без това да е наложително за доставката, това нарушава принципа за свеждане на данните до минимум, защото събира повече информация от необходимото.

  1. Точност

Администраторът има задължение да полага разумни усилия, за да гарантира, че събраните данни отразяват реалното състояние, т.е. да поддържа личните данни в точен и актуален вид. Ако се установи, че някои данни са неверни или остарели, те трябва да бъдат коригирани или изтрити без ненужно забавяне, като винаги се вземат предвид целите, за които данните се обработват. В този смисъл е препоръчително търговското дружество да осигури лесен начин за подаване на искане на корекция при промяна или грешка.

Пример: Банка съхранява данни за своя клиент, включително адрес за кореспонденция. Клиентът се е преместил, но банката не е актуализирала адреса, въпреки че е била уведомена. В резултат на това важна информация за сметката е изпратена на стария адрес и е получена от друго лице. Това показва, че данните не са били актуализирани навреме и нарушението може да доведе до сериозни последици за поверителността.

  1. Ограничение на съхранението

Личните данни не могат да се съхраняват безсрочно. Те трябва да се пазят само за периода, необходим за постигане на целта, за която са събрани, и след това да бъдат изтрити или анонимизирани. Администраторът трябва да има вътрешни правила и срокове за съхранение на различните видове данни, както и процедури за тяхното своевременно изтриване. Тези срокове са различни в зависимост от конкретните цели на обработването. Личните данни могат да се съхраняват за по-дълги срокове само в определени случаи (напр. доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания и т.н.).

Пример: Търговско дружество провежда игра с награди и събира лични данни на участниците. След края на играта и раздаването на наградите, дружетсвото продължава да съхранява данните без ясна причина. Това нарушава принципа за ограничение на съхранението, защото целта вече е постигната и данните трябва да бъдат изтрити.

 

  1. Принцип за „цялостност и поверителност

Този принцип изисква личните данни да се обработват така, че да се гарантира тяхната сигурност и защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане. Администраторът носи отговорност да предприеме адекватни мерки за сигурност, които да отговарят на естеството и чувствителността на данните, както и на рисковете за правата и свободите на физическите лица. Мерките могат да бъдат:

  • Технически: например криптиране, пароли, антивирусен софтуер, архивиране, ограничен достъп до системи.
  • Организационни: например обучение на служители, политики за поверителност, контрол върху достъпа до документи.

Пример: Търговско дружество съхранява клиентски данни (имена, адреси ЕГН и т.н) в незащитена електронна таблица, която е достъпна за всички служители, включително и тези, които нямат нужда от тези данни. Таблицата не е защитена с парола. В този случай не е гарантирано подходящо ниво на сигурност на данните.

  1. Принцип на отчетност

Принципът на отчетност изисква всеки администратор на лични данни не само да спазва всички останали принципи на обработване, но и да може да докаже това. Това означава, че администраторът трябва да има въведени вътрешни правила, процеси и документи, които ясно показват как се събират, съхраняват, използват и защитават личните данни. Освен това те трябва да могат по всяко време да предоставят доказателства пред надзорния орган – например при проверка от Комисията за защита на личните данни (КЗЛД).

Примери за прилагане на принципа на отчетност:

  • Водене на регистър на дейностите по обработване – какви данни се събират, защо, как се съхраняват, кой има достъп до тях.
  • Изготвяне на политики за защита на личните данни и обучение на служителите.
  • Провеждане на вътрешни проверки и оценка на риска.

Търсене

Провери статус на преписка
Май 2025
ПВСЧПСН
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 
< Апр Юни >
Забравена парола?